Le chercheur en sécurité Alexander Hanff a publié un article intitulé « Anthropic installe secrètement un logiciel espion lorsque vous installez Claude Desktop ».
De telles affirmations ne manquent pas de diviser l'opinion, nous avons donc cherché une réfutation officielle de la part d'Anthropic. Mais nous n'en avons pas trouvé. Je serais très surpris qu'ils n'aient pas eu vent de cette affirmation, car elle a fait pas mal de bruit.
Les utilisateurs de Mastodon, Reddit et LinkedIn confirment les conclusions du chercheur et discutent du sujet, il est donc difficile d'imaginer qu'Anthropic ait pu passer à côté.
Examinons d'abord ces affirmations.
Alors qu'il enquêtait sur un autre sujet, le chercheur a découvert sur son Mac un manifeste d'hôte Native Messaging Mac il n'avait pas installé sciemment. Sur Chrome d'autres navigateurs basés sur Chromium, les extensions peuvent échanger des messages avec des applications natives si elles enregistrent un hôte Native Messaging capable de communiquer avec l'extension.
En effectuant des tests sur un ordinateur vierge, Hanff a découvert que l'installation de Claude Desktop pour macOS créait un manifeste d'hôte Native Messaging dans plusieurs profils Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), y compris pour des navigateurs qui n'étaient pas encore installés.
Le manifeste d'hôte Native Messaging indique à un navigateur basé sur Chromium quel exécutable local invoquer lorsqu'une extension fait appel à un hôte natif ; ces hôtes s'exécutent en dehors du bac à sable du navigateur avec les autorisations de l'utilisateur actuel. Hanff qualifie donc cela de « porte dérobée ». Le manifeste pré-autorise trois identifiants Chrome , de sorte que toute extension possédant ces identifiants peut appeler l'assistant via connectNative, ce qui lui permet d'accéder aux fonctionnalités d'automatisation du navigateur.
Une autre objection est que Claude rend la suppression pure et simple inutile, car le manifeste sera recréé la prochaine fois que l'utilisateur lancera Claude Desktop.
Il est important de souligner ici que cet article porte sur Claude Desktop, l'application macOS basée sur Electron dont l'identifiant de bundle est com.anthropic.claudefordesktop, distribué sous le nom de Claude.app. Il ne s'agit pas ici de Claude Code, l'outil de développement en ligne de commande d'Anthropic. Claude Code est autonome (« agentique ») : il vous permet de lui confier une tâche, et il se charge de la planification et de l'exécution jusqu'à ce qu'elle soit terminée. Ainsi, pour Claude Code, il serait tout à fait logique de permettre la communication avec les navigateurs, à condition qu'ils soient présents sur le système cible.
Nous avons donc une application qui écrit dans les répertoires « profile » et « support » d’autres applications (la zone de configuration des navigateurs) et qui peut se faire passer pour l’utilisateur, avec des capacités telles que l’utilisation de la session de navigation connectée, l’inspection du DOM, l’extraction de données, le remplissage de formulaires et l’enregistrement de session. Cela élargit la surface d’attaque de chaque machine sur laquelle ce manifeste est déposé, sans demander de consentement.
Le billet de blog publié par Anthropic à l'occasion du lancement de « Claude for Chrome », qui traite des expériences internes de « red team » menées par Anthropic, mentionne explicitement l'injection de prompts comme un risque majeur et fait état de taux de réussite des attaques de 23,6 % (sans mesures d'atténuation) et de 11,2 % (avec mesures d'atténuation). Hanff s'appuie sur ces données pour affirmer qu'un pont prépositionné représente un risque non négligeable.
À quel point est-ce grave ?
Native Messaging est un mécanisme standard de Chromium. Il ne s'agit en soi d'aucune technique inconnue ou inhabituelle. La documentation officielle Chromeexplique que les hôtes Native Messaging s'exécutent avec les privilèges de l'utilisateur et sont appelés par les extensions du navigateur via un fichier manifeste. Et comme l'a souligné le chercheur, le pont ne fait rien. Mais il pourrait potentiellement faire l'objet d'abus.
Je ne pense pas qu'il soit juste de dire que Claude Desktop installe des logiciels espions, mais il rend le système plus vulnérable en élargissant la surface d'attaque.
Anthropic disposait déjà d'un manifeste Native Messaging distinct et documenté pour Claude Code, que les utilisateurs copiaient parfois manuellement dans d'autres navigateurs Chromium ; désormais, Claude Desktop place automatiquement un manifeste lié à Claude-Desktop dans plusieurs emplacements de navigateur.
Cela nécessite à la fois une extension et un hôte. Ce n'est qu'en association avec une extension de navigateur compatible que ce pont permet de bénéficier des fonctionnalités pour l'utilisateur que nous avons énumérées précédemment.
Ce que nous ne savons pas encore
Anthropic n'a pas publié de spécifications techniques détaillées concernant la confidentialité pour le pont entre Claude Desktop et le navigateur ; nous ne savons donc pas exactement quelles données sont transmises lorsque Chrome est utilisée, au-delà des fonctionnalités générales décrites dans leur documentation (accès à la session, lecture du DOM, etc.).
L'analyse détaillée et la plupart des reproductions effectuées à ce jour concernent macOS. Nous ne savons pas grand-chose du comportement sous Windows Linux, et il en va de même pour les différents chemins d'installation des navigateurs. Ce comportement n'a pas non plus fait l'objet d'une documentation exhaustive dans les publications accessibles au public.
J'ai contacté Anthropic pour leur demander une réaction. Dès que nous aurons reçu une réponse officielle de leur part, je l'ajouterai ici, alors restez à l'écoute.
Conclusion
Anthropic souhaitait sans doute étendre les fonctionnalités Chrome« Claude in Chrome » à l'ensemble des navigateurs basés sur Chromium, mais cela ne justifie pas pour autant de le faire en catimini et de préinstaller le manifeste dans les répertoires de profil de plusieurs navigateurs, y compris ceux qui ne sont pas encore installés.
Il existe de meilleures façons de mettre en œuvre ce genre de changements, et les utilisateurs devraient au moins en être informés afin de pouvoir en évaluer les avantages par rapport aux risques potentiels.
Mettez fin aux menaces avant qu'elles ne causent du tort.
Malwarebytes Browser Guard automatiquement les pages de hameçonnage et les sites malveillants. Gratuit, s'installe en un clic. Ajoutez-le à votre navigateur →
